标签:bsp java 引号 方式 erro 的区别 变量 pre 动态 sql
1.两者都是动态的向sql语句中传入需要的参数
2.#传入的参数在SQL中显示为字符串
eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id =‘1‘.
3.$传入的参数在SqL中直接显示为传入的值
eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.
4.#可以防止SQL注入的风险(语句的拼接)
5.但是如果使用在order by 中就需要使用 $.
我觉得#与的区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而的区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而{}穿入值,sql解析时,参数是不带引号的。
一 : 理解mybatis中 $与#
在mybatis中的$与#都是在sql中动态的传入参数。
eg:select id,name,age from student where name=#{name} 这个name是动态的,可变的。当你传入什么样的值,就会根据你传入的值执行sql语句。
二:使用$与#
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。
${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。
传入一个不改变的字符串或者传入数据库字段(列名),例如要传入order by 后边的参数
这种情况下必须使用${}。
综上,#{}方式一般用于传入字段值,并将该值作为字符串加到执行sql中,一定程度防止sql注入;
${}方式一般用于传入数据库对象,例如传入表名,不能防止sql注入,存在风险。
模糊查询中,如果使用如下方式:select * from reason_detail where reason_en like ‘%${reason}%‘,此处只能使用$,使用#的话,反而会被解析为列,报错java.sql.SQLException: Column ‘reason‘ not found
标签:bsp java 引号 方式 erro 的区别 变量 pre 动态 sql
原文地址:https://www.cnblogs.com/qianf/p/9534126.html
